Una investigaci\u00f3n de Kaspersky revela una ofensiva coordinada del grupo \u201cMysterious Elephant\u201d, que busca infiltrarse en redes institucionales y robar informaci\u00f3n sensible de empresas y gobiernos.<\/p>\n\n\n\n
<\/a><\/a>El uso de WhatsApp para compartir informaci\u00f3n laboral o institucional confidencial se ha convertido en un nuevo blanco para actores de ciberamenazas dirigidas. A principios de 2025, el Equipo Global de Investigaci\u00f3n y An\u00e1lisis (GReAT) de Kaspersky identific\u00f3 una campa\u00f1a del grupo conocido como \u201cMysterious Elephant\u201d, clasificado como APT (Amenaza Persistente Avanzada), que busca infiltrarse en redes institucionales y gubernamentales para robar documentos, im\u00e1genes, archivos comprimidos y otros datos compartidos desde equipos comprometidos mediante esta aplicaci\u00f3n de mensajer\u00eda.<\/p>\n\n\n\n La investigaci\u00f3n aclara que los atacantes no vulneran los servidores ni la aplicaci\u00f3n de WhatsApp. Su estrategia consiste en comprometer los equipos de las v\u00edctimas, por ejemplo, computadores de trabajo, y desde ah\u00ed localizar y extraer archivos que los usuarios han enviado o recibido a trav\u00e9s de WhatsApp Desktop o el navegador.<\/p>\n\n\n\n La filtraci\u00f3n de informaci\u00f3n fuera de los canales corporativos puede tener un impacto profundo en las organizaciones, ya que no solo compromete la seguridad de los datos, sino tambi\u00e9n su reputaci\u00f3n, estabilidad operativa y relaciones con terceros. Cuando los atacantes logran infiltrarse, pueden permanecer ocultos durante largos periodos, recopilando documentos, credenciales y archivos sensibles compartidos a trav\u00e9s de herramientas cotidianas como aplicaciones de mensajer\u00eda o navegadores. Este tipo de brechas puede derivar en p\u00e9rdidas econ\u00f3micas, exposici\u00f3n de informaci\u00f3n estrat\u00e9gica y da\u00f1os de confianza dif\u00edciles de revertir, especialmente cuando la fuga involucra materiales cr\u00edticos o confidenciales.<\/p>\n\n\n\n Los expertos de Kaspersky describen un cambio en las t\u00e1cticas, t\u00e9cnicas y procedimientos de Mysterious Elephant. El grupo combina el desarrollo de herramientas propias con componentes de c\u00f3digo abierto modificados. Para obtener acceso inicial a las redes, los atacantes emplean t\u00e9cnicas de ingenier\u00eda social, como correos electr\u00f3nicos personalizados o spear-phishing, y documentos infectados que descargan cargas maliciosas al abrirse. Una vez dentro, utilizan una cadena de herramientas para elevar privilegios, desplazarse entre sistemas y extraer datos.<\/p>\n\n\n\n Entre las t\u00e9cnicas detectadas se encuentra el uso de scripts de PowerShell, una herramienta leg\u00edtima de Windows que los atacantes aprovechan para ejecutar \u00f3rdenes en los equipos infectados y descargar otros programas sin levantar sospechas. Estos scripts se conectan con los servidores controlados por los delincuentes para mantener el acceso y pasar inadvertidos.<\/p>\n\n\n\n Una de las herramientas m\u00e1s usadas por el grupo, llamada BabShell, funciona como una puerta de acceso remota: establece una conexi\u00f3n directa entre el computador afectado y los atacantes, permiti\u00e9ndoles controlar el equipo a distancia. Con ella, pueden recolectar datos b\u00e1sicos, como el nombre del usuario o del equipo, y ejecutar nuevas instrucciones o programas maliciosos.<\/p>\n\n\n\n BabShell tambi\u00e9n se utiliza para activar componentes m\u00e1s avanzados, como MemLoader HidenDesk, un programa que ejecuta c\u00f3digo da\u00f1ino directamente en la memoria del sistema, sin dejar rastros visibles en el disco. Este tipo de herramientas est\u00e1 dise\u00f1ado para ocultar su actividad y mantener el control de las m\u00e1quinas comprometidas durante m\u00e1s tiempo.<\/p>\n\n\n\n \u201cLa operaci\u00f3n de este grupo est\u00e1 pensada para pasar desapercibida y mantenerse activa incluso cuando se intenta detenerla. Su infraestructura cambia constantemente, se adapta con rapidez y dificulta el rastreo por parte de los equipos de seguridad\u201d, explic\u00f3 Fabio Assolini, director de Investigaci\u00f3n y An\u00e1lisis para Am\u00e9rica Latina en Kaspersky. \u201cEsto genera un escenario complejo porque los atacantes pueden permanecer dentro de las redes durante largos periodos sin ser detectados. Al mismo tiempo, aprovechan canales de uso cotidiano, como las aplicaciones de mensajer\u00eda, para extraer informaci\u00f3n sin levantar sospechas. El verdadero riesgo no solo est\u00e1 en el robo de datos, sino en la p\u00e9rdida de control y visibilidad sobre lo que ocurre dentro del entorno digital de una instituci\u00f3n\u201d.<\/p>\n\n\n\n Para mitigar o prevenir ataques similares, los expertos de Kaspersky recomiendan:<\/p>\n\n\n\n -Fortalece la protecci\u00f3n del correo y la verificaci\u00f3n de mensajes. La mayor\u00eda de los ataques comienza con correos falsos o documentos maliciosos dise\u00f1ados para enga\u00f1ar a los empleados y conseguir acceso inicial a la red. Implementar filtros antiphishing y revisar enlaces sospechosos es clave para cortar el ataque antes de que empiece.<\/p>\n\n\n\n -Protege los dispositivos y el uso de mensajer\u00eda. Los atacantes buscan archivos sensibles dentro de los equipos comprometidos, incluso los compartidos por herramientas como WhatsApp Desktop. Es fundamental evitar el intercambio de informaci\u00f3n confidencial por canales no corporativos, mantener los equipos actualizados y aplicar pol\u00edticas claras sobre el uso de dispositivos personales.<\/p>\n\n\n\n -Fortalecer la cultura de seguridad. La capacitaci\u00f3n regular de los empleados ayuda a identificar correos falsos, mensajes enga\u00f1osos y comportamientos sospechosos. Un personal informado puede actuar como la primera l\u00ednea de defensa frente a los intentos de infiltraci\u00f3n.<\/p>\n\n\n\n -Incorporar soluciones con visi\u00f3n integral. La l\u00ednea Kaspersky Next<\/a> combina protecci\u00f3n en tiempo real con capacidades avanzadas de detecci\u00f3n, investigaci\u00f3n y respuesta ante incidentes (EDR y XDR). Su enfoque adaptable permite cubrir desde peque\u00f1as empresas hasta grandes organizaciones con necesidades m\u00e1s complejas.<\/p>\n\n\n\n -Aprovechar la inteligencia sobre amenazas. Las herramientas de Kaspersky Threat Intelligence<\/a> ofrecen informaci\u00f3n detallada y actualizada sobre los ataques m\u00e1s recientes, ayudando a los equipos de seguridad a anticiparse, contextualizar riesgos y tomar decisiones informadas en cada fase del ciclo de incidentes.<\/p>\n\n\n\n